Planejar a topologia de implantação do AD FS
A primeira etapa do planejamento da implantação do AD FS (Serviços de Federação do Active Directory) é determinar a topologia de implantação certa para atender às necessidades da sua organização.
Antes de ler este artigo, examine como os dados do AD FS são armazenados e replicados para outros servidores de federação em um farm de servidores de federação. Depois, verifique se você entende a finalidade e os métodos de replicação que podem ser usados para os dados subjacentes armazenados no banco de dados de configuração do AD FS.
Há dois tipos de banco de dados que você pode usar para armazenar dados de configuração do AD FS: WID (Banco de Dados Interno do Windows) e Microsoft SQL Server. Para saber mais, confira A função do banco de dados de configuração de AD FS. Examine os vários benefícios e limitações associadas ao uso do WID ou SQL Server como o banco de dados de configuração do AD FS, junto com os diversos cenários de aplicativos compatíveis, e faça sua seleção.
Importante
Para implementar a redundância básica, o balanceamento de carga e a opção de escalar o Serviço de Federação (se necessário), é recomendável implantar, no mínimo, dois servidores de federação por farm de servidores de federação em todos os ambientes de produção, independentemente do tipo de banco de dados que você usará.
A determinação de qual tipo de banco de dados de configuração AD FS deve ser usado para
O AD FS usa um banco de dados para armazenar a configuração e, em alguns casos, os dados transacionais relacionados ao Serviço de Federação. Use o software do AD FS para selecionar o WID (Banco de Dados Interno do Windows) ou o Microsoft SQL Server 2008 ou mais recente para armazenar os dados no Serviço de Federação.
Para a maioria das finalidades, os dois tipos de bancos de dados são relativamente equivalentes. No entanto, há algumas diferenças das quais você deve estar ciente antes de começar a ler mais sobre as várias topologias de implantação que podem ser usadas com o AD FS. A tabela a seguir descreve as diferenças nos recursos compatíveis entre um banco de dados WID e um banco de dados SQL Server.
Descrição | Recurso | Compatível com WID? | Compatível com SQL Server? |
---|---|---|---|
Recursos do AD FS | Implantação do farm do servidor de federação | Sim. Um farm do WID terá um limite de 30 servidores de federação se você tiver 100 ou menos objetos de confiança de terceira parte confiável. Um farm do WID não dá suporte à detecção de reprodução de token nem à resolução de artefatos (parte do protocolo SAML, Security Assertion Markup Language). |
Sim. Não há um limite imposto para o número de servidores de federação que podem ser implantados em um único farm |
Recursos do AD FS | Resolução de artefato do SAML Observação: esse recurso não é necessário para os cenários do Microsoft Online Services, Microsoft Office 365, Microsoft Exchange ou Microsoft Office SharePoint. |
No | Sim |
Recursos do AD FS | Detecção de reprodução do token SAML/Web Services Federation | No | Sim |
Recursos de banco de dados | A redundância básica do banco de dados usa a replicação pull, em que um ou mais servidores hospedam uma cópia somente leitura das alterações de solicitação do banco de dados que são feitas em um servidor de origem que hospeda uma cópia de leitura/gravação do banco de dados | Sim | No |
Recursos de banco de dados | Redundância de banco de dados usando soluções de alta disponibilidade, como clustering de failover ou espelhamento (somente na camada de banco de dados) Observação: todas as topologias de implantação do AD FS dão suporte ao clustering na camada de serviço do AD FS. | No | Sim |
Considerações do SQL Server
Você deve considerar os seguintes fatos de implantação se selecionar o SQL Server como o banco de dados de configuração para sua implantação do AD FS.
Recursos de SAML e seu efeito no tamanho e crescimento do banco de dados. Quando os recursos de resolução de SAML ou de detecção de reprodução do token de SAML são habilitados, o AD FS armazena informações no banco de dados de configuração do SQL Server para cada token do AD FS que é emitido. O crescimento do banco de dados do SQL Server como resultado dessa atividade não é significativa e isso depende do período de retenção de reprodução do token configurado. Cada registro de artefato tem um tamanho de aproximadamente 30 kilobytes (KB).
Número de servidores necessários para sua implantação. Será necessário adicionar, no mínimo, um servidor extra (ao número total de servidores necessários para implantar a infraestrutura do AD FS) que funcionará como um host dedicado da instância do SQL Server. Se você planejar usar o clustering de failover ou espelhamento para fornecer escalabilidade e tolerância padrão para o banco de dados de configuração do SQL Server, será necessário um mínimo de dois SQL Servers.
Como o tipo do banco de dados de configuração selecionado por você pode impactar os recursos de hardware
O impacto nos recursos de hardware de um servidor de federação que é implantado em um farm usando o WID como oposto a um servidor de federação que é implantado em um farm usando o banco de dados do SQL Server não é significativo. No entanto, é importante considerar que ao usar o WID para o farm, cada servidor de federação no farm deve armazenar, gerenciar e manter as alterações de replicação para sua cópia local do banco de dados de configuração do AD FS enquanto ainda continua fornecendo as operações normais que o Serviço de Federação requer.
Em comparação, os servidores de federação que são implantados em um farm que usa o banco de dados do SQL Server não contém necessariamente uma instância local do banco de dados de configuração do AD FS. Portanto, eles podem fazer um pouco menos de exigências em recursos de hardware.
Onde posicionar um servidor de federação
Como prática recomendada de segurança, coloque os servidores de federação do AD FS atrás de um firewall e conecte-os à sua rede corporativa para evitar a exposição da Internet. Isso é importante porque os servidores de federação têm autorização total para conceder tokens de segurança. Portanto, eles devem ter a mesma proteção que um controlador de domínio. Se um servidor de federação estiver comprometido, um usuário mal-intencionado terá a capacidade de emitir tokens de acesso completo a todos os aplicativos Web e a todos os servidores de federação protegidos pelo AD FS.
Observação
Como prática recomendada de segurança, evite ter os servidores de federação diretamente acessíveis na Internet. Considere conceder aos seus servidores de federação acesso direto à Internet apenas quando você estiver configurando um ambiente de laboratório de teste ou quando sua organização não tiver uma rede de perímetro.
Para redes corporativas típicas, um firewall voltado para a intranet é estabelecido entre a rede corporativa e a rede de perímetro e um firewall voltado para a Internet geralmente é estabelecido entre a rede de perímetro de a Internet. Nessa situação, o servidor de federação fica dentro da rede corporativa e não é diretamente acessível pelos clientes da Internet.
Observação
Computadores cliente que estão conectados à rede corporativa podem se comunicar diretamente com o servidor de federação por meio da Autenticação Integrada do Windows.
Um proxy do servidor de federação deve ser colocado na rede de perímetro antes de configurar os servidores de firewall para uso com o AD FS.
Topologias de implantação com suporte
Os artigos a seguir descrevem as várias topologias de implantação que você pode usar com o AD FS. Eles também descrevem os benefícios e as limitações associados a cada topologia de implantação para que você possa selecionar a topologia mais apropriada às necessidades específicas dos seus negócios.